先说结论:如果要跨域发送Cookie,Access-Control-Allow-Origin
就不能设为星号
config.setAllowCredentials(true)
config.addAllowedOrigin("*")
config.addAllowedOrigin("*")-----换成-->
config.addAllowedOriginPattern("*")
或者你不需要跨域发送Cookie,可以改为false。
原因:
1.首先理解Cookie。百度解释就够了 百度搜索Cookie
Cookie作用就是保存用户信息在本地,用户每次访问站点时,Web应用程序都可以读取 Cookie 包含的信息。当用户再次访问这个站点时,浏览器就会在本地硬盘上查找与该 URL 相关联的 Cookie
。如果该 Cookie 存在,浏览器就将它添加到request header
的Cookie
字段中,与http请求
一起发送到该站点。
Cookie遵循同源策略,它的组成中
domain 和 path 这两个选项共同决定了Cookie能被哪些页面共享
(3)Path属性:定义了Web站点上可以访问该Cookie的目录 。
(4)Domain属性:指定了可以访问该 Cookie 的 Web 站点或域。
简单来说就是,我们网页登录了腾讯视频,关闭后,一段时间内都不用重新登录,但是你不能说你现在要看爱奇艺了也不用登录,哪怕是同样的账号密码,怎么区分的呢,因为你进爱奇艺时是读取不到 Domain和Path是腾讯视频的Cookie信息的。
所以这个地址是保证Cookie使用和安全很重要的凭证。因此Cookie默认是不能跨域的。
2.理解跨域请求。可以看这篇文章跨域资源共享 CORS 详解 - 阮一峰的网络日志
CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。
它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。
但是我们就是要跨域发送Cookie,那他就规定了,你要跨域发送Cookie,allowedOrigins
就不能设为星号,而allowedOriginPatterns没有这个validate验证。
spring-web5.3.1 CorsConfiguration源码。 老一些的版本没有这个报错。
@Nullable
public String checkOrigin(@Nullable String origin) {
if (!StringUtils.hasText(origin)) {
return null;
} else {
String originToCheck = this.trimTrailingSlash(origin);
Iterator var3;
if (!ObjectUtils.isEmpty(this.allowedOrigins)) {
if (this.allowedOrigins.contains("*")) {
this.validateAllowCredentials();
return "*";
}
var3 = this.allowedOrigins.iterator();
while(var3.hasNext()) {
String allowedOrigin = (String)var3.next();
if (originToCheck.equalsIgnoreCase(allowedOrigin)) {
return origin;
}
}
}
if (!ObjectUtils.isEmpty(this.allowedOriginPatterns)) {
var3 = this.allowedOriginPatterns.iterator();
while(var3.hasNext()) {
CorsConfiguration.OriginPattern p = (CorsConfiguration.OriginPattern)var3.next();
if (p.getDeclaredPattern().equals("*") || p.getPattern().matcher(originToCheck).matches()) {
return origin;
}
}
}
return null;
}
}
public void validateAllowCredentials() {
if (this.allowCredentials == Boolean.TRUE && this.allowedOrigins != null && this.allowedOrigins.contains("*")) {
throw new IllegalArgumentException("When allowCredentials is true, allowedOrigins cannot contain the special value \"*\" since that cannot be set on the \"Access-Control-Allow-Origin\" response header. To allow credentials to a set of origins, list them explicitly or consider using \"allowedOriginPatterns\" instead.");
}
}